Deutschland im Fadenkreuz: ESET analysiert tückische Spam-Software

Jena (pts034/27.08.2015/16:35) – Der europäische Security-Software-Hersteller ESET http://www.eset.com/de/ hat eine Malware analysiert, die hauptsächlich in Deutschland wildert: Trustezeb. Seit Monaten befindet sich die Schadsoftware in den Top10 des ESET Virus Radars.

Betrachtet man die globalen Infektionsraten, so fällt die DACH-Region deutlich aus dem Raster. Ein erster, deutlicher Hinweis darauf, dass es die Malware direkt auf deutschsprachige Nutzer abgesehen hat.

Falsche E-Mails von Unternehmen und Anwälten

Zur Verbreitung nutzt Win32/Trustezeb Spam-E-Mails, die vermeintlich von einem Unternehmen verschickt wurden. Dabei verwenden die Angreifer den formellen Namen eines real existierenden Unternehmens in Verbindung mit einer privaten E-Mail-Adresse.

Wie sich erkennen lässt, stammt die Nachricht angeblich von einem Sachbearbeiter einer real existierenden GmbH. Ein Blick auf die E-Mail-Adresse verrät jedoch, dass die Nachricht von einer privaten Adresse aus versendet wurde.

“Die Angreifer machen sich nicht einmal die Mühe den Absender zu fälschen, was ohne Weiteres möglich wäre”, so Thomas Uhlemann, Security Specialist bei ESET. “Ein kurzer prüfender Blick auf Name und E-Mail-Adresse des Absenders reicht schon aus, um skeptisch zu werden. Betrachtet man die aktuellen Infektionsraten in Deutschland, klicken offenbar dennoch genug Internetnutzer auf die schadhaften Anhänge”.

Ein möglicher Grund: Um die Nachricht glaubwürdiger erscheinen zu lassen, wird fast immer der Name des Opfers als persönliche Anrede verwendet. Wie im obigen Beispiel ersichtlich, wird dem Opfer eine scheinbar nicht beglichene Rechnung zur Last gelegt, welche sich im Anhang befindet. Darin ist allerdings keine Rechnung enthalten, sondern die Schadsoftware als ausführbare Datei.

Schädling getarnt als ZIP-Datei

Öffnet das Opfer die ZIP-Datei im Anhang der E-Mail, erscheint als Inhalt eine weitere ZIP-Datei mit ähnlichem Namen. Diese ZIP-Datei enthält wiederum den eigentlichen Schädling als ausführbare Datei, getarnt mit einer COM-Dateiendung.

Win32/Trustezeb ist ein Schädling, der auf dem System seines Opfers weitere Schadsoftware nachladen kann. Er öffnet dazu eine Hintertür, so dass der Angreifer dauerhaft Zugriff auf den infizierten Computer hat. Dabei bedient sich Win32/Trustezeb einer Vielzahl moderner Methoden, die sich auch bei anderen Schädlingen finden lassen. Zum Beispiel besitzt er einen sogenannten Domain-Generation-Algorithmus. Diese Funktion generiert eine Reihe an Domainnamen, die dann als C&C-Server dienen und kontaktiert werden.

Der Angreifer kann nun eine oder mehrere dieser Domains registrieren und so seine Schadsoftware kontrollieren. Durch die vielen möglichen Domainnamen hat der Angreifer die Möglichkeit, in bestimmten zeitlichen Abständen immer eine andere Domain zu registrieren. Dies erschwert das Auffinden und Abschalten der gerade aktiven C&C-Server erheblich. Die Kommunikation mit dem C&C-Server erfolgt dabei durchgehend verschlüsselt, was ein Aufspüren des Schädlings zusätzlich erschwert.

Vorsicht bei Datei-Anhängen

ESET rät einmal mehr dazu, beim Öffnen von Dateianhängen stets vorsichtig zu sein. Zwar gehen die Angreifer im Falle von Trustezeb in Sachen Tarnung äußerst nachlässig vor, jedoch können auch Anhänge von vermeintlich bekannten Absendern Schadsoftware enthalten. Um ein höchstes Maß an Sicherheit zu gewährleisten, empfiehlt sich stets der Einsatz einer aktuellen Security-Software wie der ESET Smart Security – so ist man stets vor allen Gefahren geschützt, die im weltweiten Datennetz lauern.

Weitere Informationen zu Trustezeb finden sich über das ESET Virus Radar und im ESET Security-Blog WeLiveSecurity:

http://virusradar.com/en/Win32_Trustezeb/detail http://www.welivesecurity.com/deutsch/2015/08/27/trustezeb-offnet-hintertur-auf-deutschen-rechnern/

(Ende)

Aussender: FleishmanHillard Germany GmbH Ansprechpartner: Westphal Tel.: +49 (0) 89 230 31 692 E-Mail: eset-pr@fleishmaneuorpe.com Website: www.fleishman.de